数据安全 | 涉及个人信息场景下的隐私计算的合规要点

Original 闪涛 LEGAL EYE 看法见法 2024-01-09

关键词：区块链；人工智能；大数据；智能合约；涉外法律服务；专业律师

本期关键词：数据安全；个人信息保护；隐私计算技术；《网络安全法》；《数据安全法》；《个人信息保护法》；数据“可用、不可见”；知情权；匿名化

本文约4980字，大概需要阅读10分钟。

数字经济背景下庞大的数据如何能够充分发挥促进经济社会发展、提升幸福感的作用？尤其当需要利用个人信息、甚至个人敏感信息的时候，那么又如何让大数据能够在一个安全有保障的环境下发挥作用？这是数字经济发展所面临的一个至关重要的问题。隐私计算技术则尝试解决这一难题。

隐私计算(Privacy compute 或Privacy computing)是指在保护数据本身不对外泄露的前提下实现数据分析计算的技术集合，达到对数据“可用、不可见”的目的；在充分保护数据和隐私安全的前提下，实现数据价值的转化和释放（来源于百度百科）。目前主流的隐私计算技术主要分为三大方向：第一类是以多方安全计算为代表的基于密码学的隐私计算技术；第二类是以联邦学习为代表的人工智能与隐私保护技术融合衍生的技术；第三类是以可信执行环境为代表的基于可信硬件的隐私计算技术。不同技术往往组合使用，在保证原始数据安全和隐私性的同时，完成对数据的计算和分析任务。另外还有同态加密、零知识证明、差分隐私等技术。

虽然隐私计算能够实现上述“可用不可见”的目的，起到个人信息保护的作用，但其仍然是一种应然状态下的保证，而具体的隐私计算基于其不同的应用场景以及各种现实情况，是否能够达到相关法律法规的合规要求，仍然需要一个检视的过程，仍然存在相关的合规问题需要梳理。

本文基于三大法的要求（《网络安全法》、《数据安全法》、《个人信息保护法》），尝试对此进行初步的梳理。

一、是否涉及个人信息、个人敏感信息

1、个人信息的认定

在隐私计算的具体应用场景中，首先需要判断是否涉及个人信息、甚至个人敏感信息，对于该判断，主要基于《个人信息保护法》及相关技术标准规范来确定，对此可以参照本公众号此前的文章《系列|个人信息保护之一：什么是个人信息？》。

2、隐私计算是否可以等同匿名化？

《个人信息保护法》第四条明确，个人信息“不包括匿名化处理后的信息”，《网络安全法》第四十二条明确，“经过处理无法识别特定个人且不能复原的除外”，《民法典》第一千零三十八条明确，“经过加工无法识别特定个人且不能复原的除外”。因此如果是已经匿名化的信息，是可以不受相关法律法规的约束。原因即在于“匿名化”达到了无法识别或关联某个具体的个人的效果，自然不会对个人的信息权益造成影响。隐私计算在一定程度上，可以接近“匿名化”的要求，但始终无法保证完全或者绝对的匿名化，其中的原因有很多，一方面是技术保障的效果，另外还有技术操作过程的各个节点以及载有个人信息的数据的整个存储、传输过程是否完全能够做到无法反推、无法复原、不会泄露等等。因此，无论是从动态角度还是从静态角度，我们无法当然地绝对地作出一个结论，即隐私计算等于匿名化。自然，隐私计算还是需要根据相关法律法规的规定进行合规性的审查。

接下来，我们在假定隐私计算所涉及的应用场景涉及个人信息时，所可能涉及的相关合规要点。

二、处理的合法性基础之一

《个人信息保护法》第十三条规定了处理个人信息的七种法律依据，换言之只要符合这七种之一即存在合法性基础，分别是：（一）取得个人的同意；（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（三）为履行法定职责或者法定义务所必需；（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（七）法律、行政法规规定的其他情形。依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

结合这七种法律依据，换一个角度看，如果不属于第（二）到第（七）项的情形，那么均要取得个人的同意。

三、处理的合法性基础之二

在判断处理的合法性基础时，除了审视前述合法性基础之外，还要进一步结合《个人信息保护法》对处理行为的要求来进一步判断。以下逐项分析。

1、合法、正当、必要和诚信原则

《个人信息保护法》第五条规定，“处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息”。因此，在具体采用隐私计算应用场景中，也要去判断采用隐私计算是否正当、必要与诚信，且不具备误导、欺诈、胁迫的情形。在某些隐私计算场景中，可能必要性不足，正当性不足，或者有违诚信。

2、目的明确合理且最小相关

《个人信息保护法》第六条规定，“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”。这是对处理目的与收集范围的要求。在隐私计算的具体应用场景中，如何需要通过大量数据来进行自动化决策时，则更加要注意收集范围的可控程度。目的明确这一方面更要与透明度结合起来，要具体指向一个很明确的目的，例如“通过隐私计算，达到*****的结果或者效果”，这个结果或者效果的描述也应当尽量明确。

3、公开透明

《个人信息保护法》第七条规定，“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围”。这一条和前述第六条相关联。这里需要重点关注的，就是透明的要求，公开与透明是两个方面，公开指的是手段途径上的要求，透明更侧重于公开的内容要达到“透明”的程度，而不是遮遮掩掩。

四、是否需要进行个人信息保护影响评估

《个人信息保护法》第五十五条规定，“有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动”。

那么在隐私计算的场景中如果涉及到上述情形中，那么，要在事前，也就是处理前对处理行为进行个人信息保护影响评估。评估的内容在《个人信息保护法》第五十六条有所交代。

五、隐私计算所涉及的法律关系

隐私计算一般可能涉及如下几个主体，第一，数据的提供方，第二，计算技术的提供方，第三，数据的需求方。当然在某些情形下，数据的提供方和数据的需求方也可能是同一方。那么这几方又需要遵循哪些合规义务呢？以下分述。

1、数据的提供方

数据的提供方首先要对自身所获取的数据的合法性负责，也就是前述第二、第三点以及第四点所提到的义务均需要审查是否满足合规要求。这里惟须注意的是《个人信息保护法》第四条规定了，“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”，因此，除了“收集、存储”行为需要收到《个人信息保护法》的约束，“传输”、“提供”等行为也属于处理行为，也要收到《个人信息保护法》的约束。

其次，在涉及隐私计算的场景下，数据的提供方也往往是委托处理的委托方，由其委托隐私计算的技术提供方进行隐私计算，那么，《个人信息保护法》第二十一条规定，“个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。未经个人信息处理者同意，受托人不得转委托他人处理个人信息”。因此，委托方与受托方之间存在上述的法定义务，且该法定义务需要通过合同的方式予以具体明确。

再次，数据的提供方也要遵循《个人信息保护法》第五章“个人信息处理者的义务”以及同样要采取措施满足第四章“个人在个人信息处理活动中的权利”。在此不再赘述。

2、隐私计算技术的提供方

隐私计算技术的提供方除了遵循前述所有关于个人信息处理者的合规义务之外，重点提及两个重要方面。第一，是技术以及技术使用上的安全保障要求（包括组织、技术、制度、流程等各个方面）是否充分，残留风险是否能够最小化。第二，是技术本身的合法性授权问题。因为在当前数字经济的分工条件下，实际上一项笼统的隐私计算可能涉及到诸多主体来参与到代码的开发、模型的建立以及模型的测试等环节中，那么其中的知识产权的归属、授权使用的范围、授权链的完整性以及各自在隐私计算中权利义务的分配均是需要仔细分析与梳理的。

3、数据的需求方/使用方

在数据的需求方与提供方不同的情形下，那么数据的需求方又形成一个相对独立的法律地位，同样要满足前述的各项法定义务以及约定义务。在此不再赘述。

六、隐私计算的告知同意要求

同样存在一个误区，是不是因为采用了隐私计算技术，能够较高等级和程度的满足个人信息保护的要求，是不是就可以不需要授权同意，或者采取笼统的授权同意即可？我们认为，基于以下几点原因，在隐私计算所涉及的应用场景中，尤其在涉及对个人敏感信息的隐私计算场景中，单独明确的同意是必要条件。

1、《个人信息保护法》第七条公开透明原则的要求

前已述及，第七条明确代理公开透明的要求，因此当涉及处理个人信息处理的隐私计算时，应当告知个人采用了相关的隐私计算技术，明确相关的目的、方式和范围，其中的“方式”在具体场景中指向的就是“隐私计算”这一方式，所以，告知个人采用“隐私计算”是该条的法定要求。

2、《个人信息保护法》第十四条明确了充分知情自愿同意的要求

《个人信息保护法》第十四条规定，“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定”。在涉及隐私计算的场合，告知个人采用隐私计算技术才满足该条的“充分知情”的程度，才能够得出自愿同意的结论。

3、《个人信息保护法》第十四条明确了变更情形下的要求

《个人信息保护法》第十四条第二款规定，“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意”。那么在涉及隐私计算的场合，往往场景是，某一数据收集方以前并没有采用这一技术，数据收集方的隐私政策中也没有涵盖告知这一项，那么隐私计算作为一种新的技术所带来的新的服务，那么就涉及到处理的目的、方式、种类可能发生变更，在这种情形下，就应当更新隐私政策，重新取得个人同意，在涉及处理个人敏感信息的场合，还涉及到重新取得个人的单独同意。

4、《个人信息保护法》第十七条对告知的要求

《个人信息保护法》第十七条规定，“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。”

因此，当数据的收集方采用隐私计算这一技术提供服务时，如果此前没有明确，那么根据该条的要求，也属于应当告知与明确的范围。

5、《个人信息保护法》第四十四条对知情权的要求

《个人信息保护法》第四十四条规定，“个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外”。因此，从个人角度，个人也有权对收集方是否采用了隐私计算这一技术享有知情权。

综上，我们认为，在涉及隐私计算场景下，告知的范围应当具体明确，简言之，在数据收集方的隐私政策中应当明确具体指向采用了哪一主体的什么样的隐私计算技术来提供什么样的服务，在涉及个人敏感信息的场景，还要取得个人单独的授权同意（《个人信息保护法》第二十九条、第三十条）。概括授权并不能满足前述法律上的要求。

综上，隐私计算是一项有助于推动大数据应用的数据合规技术措施，但其仍然要遵守相关法律法规中对数据安全、个人信息保护方面的合规性要求，否则也可能产生影响的民事、行政甚至刑事上的法律风险，对其进行充分的合规性论证以及相应的评估是必不可少的一项工作。

陆续更新，敬请期待

版权归闪涛律师团队所有，未经许可不得转载。

如认为本文侵犯版权，请及时联系闪涛律师团队。

团队介绍

闪涛律师团队专注于“一带一路”与海外投资、跨境争议解决、涉外公司与股权、涉外金融与私募、跨境电商、新兴科技（人工智能、区块链、数据安全与信息保护）等领域。

闪涛律师，广东广信君达律师事务所高级合伙人、管委会主任，中山大学法学院兼职教授、硕士研究生导师，广东外语外贸大学法学院教授、硕士研究生导师，中南财经政法大学博士研究生。

执业证号：

14401200810597414

闪涛律师是最高人民检察院民事行政案件咨询专家，中华全国律师协会涉外法律事务领军人才库人选，司法部“全国千名涉外律师人才名录”，中华全国律师协会“一带一路”律师联盟广州中心副主任，中华全国律师协会涉外法律事务领军人才库人选，司法部、全国律师协会“一带一路”跨境律师人才库首批成员，司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人，广东省涉外律师领军人才库成员，第十二届广东省律师协会常务理事，第十二届广东省律师协会国际贸易法律专业委员会主任，广东省粤港澳合作促进会第一届法律专业委员会副秘书长，第十届广州市律师协会“一带一路”法律专业委员会副主任，第十四届广州市政协法制工作顾问，广州仲裁委员会仲裁员，广州国际商贸商事调解中心调解员。

往期回顾

数据安全

数据安全 | 欧盟委员会被诉违反GDPR向美国传输公民个人数据

数据安全 | 区块链技术作为“商业秘密”保护的模式探讨

数据安全 | 国家计算机病毒应急处理中心监测发现15款违法移动APP

数据安全 | 美国知名零售商泄露用户信息被罚50万美元

数据安全 | 数据基础制度构建与数据安全治理

数据安全 | 美国的数据隐私和保护法案（草稿）与中国的数据安全和个人信息法有何不同？

数据安全 | 欧盟法院允许消费者组织提起数据侵权诉讼

数据安全 | 数据资产交易及法律风险防控的研究

数据安全 | 谷歌分析功能违反GDPR被法国要求停用

数据安全 | 第三方SDK对个人信息安全的合规现状